Netwerk- en beveiligingsvereisten voor speciale instanties

Fysieke beveiliging

Het is belangrijk om fysieke beveiliging te bieden voor equinix Meet-Me-ruimte-locaties en datacentervoorzieningen van cisco-speciale instantie. Wanneer de fysieke beveiliging wordt aangetast, kunnen eenvoudige aanvallen zoals onderbreking van de service door het uitschakelen van de schakelaars van een klant worden gestart. Met fysieke toegang kunnen aanvaller toegang krijgen tot serverapparaten, wachtwoorden herstellen en toegang krijgen tot switches. Fysieke toegang maakt geavanceerdere aanvallen mogelijk, zoals man-in-the-middle-aanvallen. Daarom is de tweede beveiligingslaag, de netwerkbeveiliging, essentieel.

Zelfversleutelingsstations worden gebruikt in speciale datacenters voor instanties die UC-toepassingen hosten.

Meer informatie over algemene beveiligingspraktijken vindt u in de documentatie op de volgende locatie: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Netwerkbeveiliging

Partners moeten ervoor zorgen dat alle netwerkelementen zijn beveiligd in de infrastructuur van speciale instanties (die verbinding maakt via Equinix). Het is de verantwoordelijkheid van de partner om de beste werkwijzen voor de beveiliging te waarborgen, zoals:

• Scheid VLAN voor spraak en data

• Poortbeveiliging inschakelen, waarmee het aantal TOEGESTANe MAC-adressen per poort wordt beperkt, ten opzichte van de CAM-tabel

• Ip-bronveilige adressen tegen spoofing-IP-adressen

• Dynamic ARP Inspection (DAI) bekijkt adresresolutieprotocol (ARP) en inbreuk op ARP (GARP) voor overtredingen (tegen ARP spoofing)

• 802. beperkt1x de netwerktoegang tot verificatieapparaten op toegewezen VLAN's (telefoons ondersteunen 802.1x)

• Configuratie van servicekwaliteit (Quality of Service, QoS) voor de juiste markering van spraakpakketten

• Firewallpoortconfiguraties voor het blokkeren van ander verkeer

Beveiliging van eindpunten

Cisco-eindpunten ondersteunen standaard beveiligingsfuncties zoals ondertekende firmware, beveiligde opstartfuncties (geselecteerde modellen), geïnstalleerd certificaat van fabrikant (MIC) en ondertekende configuratiebestanden, die een bepaald beveiligingsniveau voor eindpunten bieden.

Daarnaast kan een partner of klant extra beveiliging inschakelen, zoals:

• IP-telefoonservices (via HTTPS) coderen voor services zoals Toestelmobiliteit

• Uitgifte lokaal belangrijke certificaten (LCS's) vanuit de functie persoonsgegevens van de certificeringsinstantie (CAPF) of een openbare certificeringsinstantie (CA)

• Configuratiebestanden coderen

• Media en signalering coderen

• Schakel deze instellingen uit als ze niet worden gebruikt: PC-poort, PC Voice VLAN-toegang, BRP(-in) ( internettoegang, instellingenknop, SSH, console)

De implementatie van beveiligingsmechanismen in het speciale exemplaar voorkomt identiteitsdiefstal van de telefoons en de Unified CM-server, gegevens geknoeid en gesprekssignalering/mediastream geknoeid.

Speciale instantie via het netwerk:

• Brengt geverifieerde communicatiestromen tot stand en behoudt deze

• Tekent bestanden digitaal voor overdracht van het bestand naar de telefoon

• Codeer mediastreams en gesprekssignalering tussen Cisco Unified IP-telefoons

Beveiliging biedt standaard de volgende automatische beveiligingsfuncties voor Cisco Unified IP-telefoons:

• Ondertekening van de telefoonconfiguratiebestanden

• Ondersteuning voor de codering van het telefoonconfiguratiebestand

• HTTPS met Tomcat en andere webservices (MIDservices)

Voor Unified CM versie 8.0 later worden deze beveiligingsfuncties standaard aangeboden zonder dat de CTL-client (Certificate Trust List) wordt uitgevoerd.

Omdat er een groot aantal telefoons in een netwerk en IP-telefoons beperkte geheugen hebben, fungeert Cisco Unified CM als een externe trust store via de Trust Verification Service (TVS) zodat er geen store voor vertrouwde certificaten op elke telefoon hoeft te worden geplaatst. De Cisco IP-telefoons nemen voor verificatie contact op met de TVS-server omdat ze geen handtekening of certificaat kunnen verifiëren via CTL- of ITL-bestanden. Een centrale trust store is eenvoudiger te beheren dan de trust store op elke vertrouwde store op Cisco Unified IP-telefoon.

MET TVS Cisco Unified IP-telefoons toepassingsservers verifiëren, zoals EM-services, directory en MIDlet, tijdens het gebruik van HTTPS.

Het ITL-bestand (Initial Trust List) wordt gebruikt voor de eerste beveiliging, zodat de eindpunten de CM Cisco Unified vertrouwen. ITL heeft geen beveiligingsfuncties nodig om expliciet te worden ingeschakeld. Het ITL-bestand wordt automatisch gemaakt wanneer het cluster wordt geïnstalleerd. De privésleutel van de Unified CM Trivial File Transfer Protocol-server (TFTP) wordt gebruikt om het ITL-bestand te ondertekenen.

Wanneer de Cisco Unified CM-cluster of -server zich in de niet-beveiligde modus heeft, wordt het ITL-bestand gedownload op elke ondersteunde Cisco IP-telefoon. Een partner kan de inhoud van een ITL-bestand weergeven met de CLI-opdracht, admin:show itl.

Voor Cisco IP-telefoons is het ITL-bestand nodig om de volgende taken uit te voeren:

• Veilig communiceren met CAPF, een vereiste voor ondersteuning van de codering van het configuratiebestand

• De handtekening van het configuratiebestand verifiëren

• Verifieert toepassingsservers, zoals EM-services, directory en MIDlet tijdens HTTPS-gebruik met TVS

Apparaat-, bestands- en signaleringsverificatie vertrouwen op het maken van het CTL-bestand (Certificate Trust List), dat wordt gemaakt wanneer de partner of klant de Cisco Certificate Trust List-client installeert en configureert.

Het CTL-bestand bevat vermeldingen voor de volgende servers of beveiligingstokens:

• Beveiligings token systeembeheerder (SAST)

• Cisco CallManager en Cisco TFTP-services die worden uitgevoerd op dezelfde server

• Functie Certificate Authority Proxy (CAPF)

• TFTP-server(s)

• ASA-firewall

Het CTL-bestand bevat een servercertificaat, openbare sleutel, serienummer, handtekening, naam van de verlener, onderwerpnaam, serverfunctie, DNS-naam en IP-adres voor elke server.

Telefoonbeveiliging met CTL biedt de volgende functies:

• Verificatie van gedownloade TFTP-bestanden (configuratie, locale, bellijst, bijvoorbeeld) met behulp van een ondertekeningssleutel

• Codering van TFTP-configuratiebestanden met behulp van een ondertekeningssleutel

• Gecodeerde gesprekssignalering voor IP-telefoons

• Gecodeerde gespreksaudio (media) voor IP-telefoons

Speciale instantie biedt eindpuntregistratie en gespreksverwerking. De signalering tussen uw Cisco Unified CM en eindpunten is gebaseerd op Secure Skinny Client Control Protocol (SCCP) of SIP (Session Initiation Protocol) (SIP) en kan worden gecodeerd met Transport Layer Security (TLS). De media van/naar de eindpunten zijn gebaseerd op realtime transportprotocol (RTP) en kunnen ook worden gecodeerd met veilige RTP (SRTP).

Door het inschakelen van de gemengde modus op Unified CM is de codering van de signalering en mediaverkeer van en naar De Cisco-eindpunten mogelijk.

Veilige UC-toepassingen

De gemengde modus is standaard ingeschakeld in Dedicated Instance.

Door het inschakelen van de gemengde modus in een speciaal exemplaar is het mogelijk om codering van de signalering en het mediaverkeer van en naar de Cisco-eindpunten uit te voeren.

In Cisco Unified CM-release 12.5(1) is een nieuwe optie toegevoegd voor het inschakelen van codering van signalering en media op basis van SIP OAuth in plaats van de gemengde modus/ CTL voor Jabber- en Webex-clients. Daarom kunnen in Unified CM-versie 12.5(1) SIP OAuth en SRTP worden gebruikt om codering voor signalering en media in te stellen voor Jabber- of Webex-clients. Het inschakelen van de gemengde modus is momenteel vereist voor Cisco IP-telefoons en andere Cisco-eindpunten. Er is een plan om ondersteuning voor SIP OAuth toe te voegen aan 7800/8800-eindpunten in een toekomstige versie.

Cisco Unity Connection via de TLS-poort verbinding maken met Unified CM. Wanneer de apparaatbeveiligingsmodus niet beveiligd is, maakt Cisco Unity Connection via de SCCP-poort verbinding met Unified CM.

Om beveiliging te configureren voor Unified CM-spraakberichtenpoorten en Cisco Unity-apparaten met SCCP- of Cisco Unity Connection-apparaten met SCCP, kan een partner een veilige apparaatbeveiligingsmodus voor de poort kiezen. Als u een geverifieerde voicemailpoort kiest, wordt er een TLS-verbinding geopend waarmee de apparaten worden geverifieerd via een gemeenschappelijke certificaat-exchange (elk apparaat accepteert het certificaat van het andere apparaat). Als u een gecodeerde voicemailpoort kiest, verifieert het systeem eerst de apparaten en verzendt het vervolgens gecodeerde spraakstreams tussen de apparaten.

Raadpleeg voor meer informatie over de beveiliging van spraakberichtenpoorten: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Communicatie tussen Cisco Unified CM en CUBE beveiligen

Voor veilige communicatie tussen Cisco Unified CM en CUBE moeten partners/klanten zelf ondertekende certificaten of CA-ondertekende certificaten gebruiken.

Voor zelf-ondertekende certificaten:

1. CUBE en Cisco Unified CM zelf-ondertekende certificaten genereren

2. CUBE exporteert certificaat naar Cisco Unified CM

3. Cisco Unified CM exporteert certificaat naar CUBE

Voor certificaten die door een certificeringsstantie zijn ondertekend:

1. Client genereert een sleutelpaar en verzendt een CSR (Ondertekeningsaanvraag certificaat) naar de certificeringsinstantie (CA)

2. De CA tekent deze met zijn privésleutel, waardoor een identiteitscertificaat wordt aanmaken

3. Client installeert de lijst met vertrouwde CA-hoofd- en certificaatcertificaten en het identiteitscertificaat

Samenvatting van het protocol

De volgende tabel toont de protocollen en gekoppelde services die worden gebruikt in de Unified CM-oplossing.

Voor meer informatie over MRA-configuratie, zie: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Jabber en Webex beveiligen met SIP OAuth

Jabber- en Webex-clients worden geverifieerd via een OAuth-token in plaats van een lokaal significant certificaat (LSC), waarvoor ook geen CAPF-functie (Certificate Authority Proxy) is vereist. SIP OAuth, dat werkt met of zonder gemengde modus, is geïntroduceerd in Cisco Unified CM 12.5(1), Jabber 12.5 en Expressway X12.5.

In Cisco Unified CM 12.5 hebben we een nieuwe optie in Telefoonbeveiligingsprofiel die codering zonder LSC/CAPF mogelijk maakt met behulp van enkele Transport Layer Security (TLS) + OAuth-token in SIP REGISTREREN. Expressway-C-knooppunten maken gebruik van de AXL-API (Administrative XML Web Service) om Cisco Unified CM te informeren over de SN/SAN in het certificaat. Cisco Unified CM gebruikt deze informatie om het Exp-C-certificaat te valideren bij het tot stand brengen van gemeenschappelijke TLS verbinding.

SIP OAuth maakt codering van media en signalering mogelijk zonder een eindpuntcertificaat (LSC).

Cisco Jabber gebruikt Epische poorten en veilige poorten 6971 en 6972-poorten via HTTPS-verbinding met de TFTP-server om de configuratiebestanden te downloaden. Poort 6970 is een niet-beveiligde poort voor downloaden via HTTP.

Meer informatie over SIP OAuth-configuratie: SIP OAuth-modus.